얄루

생각해보니 블로그에 beebox 풀이만 올리고 설치법과 초기 세팅을 안 올려서 생각난 김에 올림. 환경 VMware Workstation 16 pro beebox 1.6 beebox 파일 링크 ⇊⇊⇊ (유해사이트 아님. 피싱사이트도 아님. 모두 안전한 사이버 활동이 되시길) https://sourceforge.net/projects/bwapp/files/ bWAPP 웹 어플리케이션으로 받으면 윈도우 디펜더 걸려서 귀찮아서 저는 걍 beebox 1.6 자체를 받았습니다. Home 디렉터리에 bWAPP 말고 bee-box 디렉터리 들어가서 저 압축파일 받으면 됨. 1. VMware or 워크스테이션 프로그램에서 bee-box.vmx를 오픈 2. 램 1GB로도 충분하니 기본 세팅으로 Power ON 3. I ..

정상 시나리오 더보기 접속한 웹 브라우저의 정보가 저장된 ‘USER-Agent’ 헤더 값을 테이블 형태로 출력하고 있는 모습. 계속 새로고침 해도 최근 정보로 갱신될 뿐, 3개 밖에 출력이 되지 않는다. 그러나 설명 란의 download라는 문자를 클릭하면 페이지에 접속한 모든 User-Agent의 정보를 새로운 페이지에 출력한다. URL을 보면 logs 디렉터리의 텍스트 파일이다. 공격 시나리오 1 더보기 ♪ 프록시 서버로 패킷을 잡아서 User-Agent 헤드에 스크립트 코드를 입력해보자. 준비: 프록시 서버 Attack code Forward 새로고침하면 스크립트가 잘 실행되고, 확인을 누르면 User-Agent에 블랭크 입력란이 인다. 공격 시나리오 2 더보기 ♪ User-Agent 헤더에 사용자..

XSS(Cross-Site Scripting)? 💡 공격자가 상대방의 브라우저에 스크립트가 실행되도록 해 사용자의 세션을 가로채거나, 웹사이트를 변조하거나, 악의적 콘텐츠를 삽입하거나, 피싱 공격을 실행하는 것 Stored? 정상 시나리오 더보기 이 페이지는 비밀번호 힌트를 새로 설정하는 기능을 하는 페이지이다. SQL Injection(Login Form/User)에 나오는 값을 설정한다. 공격 시나리오 1 더보기 ♪ 입력란에 경고창으로 출력하는 스크립트 코드를 입력해보자. Attack Code 힌트가 변경되었다고 알려준다. 변경된 힌트를 알 수 있는 페이지가 있으니 그 페이지로 가보자. 아까 입력한 스크립트 코드가 적용된 것을 알 수 있다. 공격 시나리오 2 더보기 ♪ 사용자의 쿠키값을 경고창으로 출..